Audit tude analyse des systmes dinformations Licence L

  • Slides: 31
Download presentation
Audit, étude & analyse des systèmes d’informations Licence L 3 - SIE 2 –

Audit, étude & analyse des systèmes d’informations Licence L 3 - SIE 2 – Année 2005 SIE 2 Séance 2 1. Niveaux et acteurs 2. Missions (structuration et organisation)

 SIE 2 - Séance 2 Auditeurs Acteurs Internes et Externes Rôles et fonctions

SIE 2 - Séance 2 Auditeurs Acteurs Internes et Externes Rôles et fonctions Missions Obligations Capacités

 SIE 2 - Séance 2 Audit Interne et Externe 1. Audit INTERNE 1.

SIE 2 - Séance 2 Audit Interne et Externe 1. Audit INTERNE 1. Audit EXTERNE 1. demandé par la direction ou un responsable de service, de domaine, d'agence, . . demandé par un CA, un syndicat, un groupe d'actionnaire, un législateur 2. permet un suivi régulier des indicateurs et des procédures, méthodes permet une étude ponctuelle et poussée de la globalité d'un domaine ou d'une entreprise 3. réalisé par un service de Contrôle Interne réalisée par un cabinet extérieur (consultants) 4. activité régulière basée sur activité basée sur 1. un audit 2. une mise en place d'indicateurs de contrôle 3. un contrôle régulier 5. personnel placé pour 3 à 5 ans (on évite de rester au delà) • un audit critique • des avis et conseils auditeur ne devant pas aller au delà d'un travail supérieur à 1 ou 2 ans, au delà la fonction se périme au profit du conseil pur

 SIE 2 - Séance 2 Acteurs de la fonction d'Audit On considère 7

SIE 2 - Séance 2 Acteurs de la fonction d'Audit On considère 7 grands acteurs de la fonction d'audit L'organisateur et le responsable prospective Le responsable de sécurité et celui de la sécurité informatique Le contrôleur de Gestion L'auditeur interne Le réviseur comptable (EC et CC) qui est indépendant Le consultant (cabinet d’audit ou indépendant) Chacun dispose de moyens et domaines de compétences propres

 SIE 2 - Séance 2 Responsable sécurité Rattaché à la DT Domaine de

SIE 2 - Séance 2 Responsable sécurité Rattaché à la DT Domaine de compétences Sécurité physique des systèmes, biens et patrimoine, et/ou des personnes Rôle : contrôle et inspection des sites (accès, utilisation, procédures) recherche des risques, préparation des préventions et parades vérification des applications de normes et de la législation, du règlement intérieur gestion du personnel de sécurité

 SIE 2 - Séance 2 Responsable sécurité informatique R. S. S. I. ou

SIE 2 - Séance 2 Responsable sécurité informatique R. S. S. I. ou D. S. S. I. Rattaché à la DT et/ou la DSI Domaine de compétences Sécurité physique et logiciel des systèmes d’informations, (matériels, données, logiciels, personnels, accès, etc. ) Rôle : contrôle et inspection des sites (accès, utilisation, procédures) recherche des risques, préparation des préventions et parades vérification des applications de normes et de la législation, du règlement intérieur gestion du personnel informatique

 SIE 2 - Séance 2 Auditeur interne Rattaché à la DG et DFC

SIE 2 - Séance 2 Auditeur interne Rattaché à la DG et DFC Domaine de compétences : Contrôle technique, commercial et comptable Contrôle de sécurité Rôle Intervient sur planning ou sur ordre de mission (LM) analyse (photographie) un service, une action, à un instant donné Apprécie l'état du contrôle interne ou l'effectue réalise un rapport avec constats et recommandations

 SIE 2 - Séance 2 Consultant / Auditeur externe Membre d’un cabinet ou

SIE 2 - Séance 2 Consultant / Auditeur externe Membre d’un cabinet ou indépendant Domaine de compétences Diagnostics Avis et conseil Rôle dispose d'une spécialité et d'une compétence reconnue analyse et détecte les problèmes émet des avis et conseils (ou recommandations) réalise un rapport public ou privé suivant les cas contacté le plus souvent par appel d'offres avec lettre de mission

 SIE 2 - Séance 2 Capacités des auditeurs Capacité d'organisation et sens pratique

SIE 2 - Séance 2 Capacités des auditeurs Capacité d'organisation et sens pratique Facilité de contact et de diplomatie Impartialité et intégrité … Capacité d'analyse et de synthèse Connaissances méthodologiques élevées Adaptabilité à l'environnement et personnes Capacité d'écoute réelle Connaissance des techniques du domaine étudiée Connaissance du domaine d'entreprise importante Connaissance complète du domaine de compétence

 SIE 2 - Séance 2 Un métier certifié Certification spécifique des «Auditeurs Informatiques»

SIE 2 - Séance 2 Un métier certifié Certification spécifique des «Auditeurs Informatiques» CIA (Certified International Audit / US) utilisé en France CISA (Certified Information Systems Auditor) utilisé en France l Certification acquise pour 1 an et devant être maintenue par des crédits formations, articles de fond, travail en groupe à l’AFAI & IFACI u Environ 10. 000 Auditeurs certifiés en France Indépendante d’une notion de qualité (telle qu’ISO 9000) mais rattaché souvent à des normes sécurité informatique (telles qu’ISO 17799) ou à des méthodes (COBIT) u CISSP (Certified Information Systems Security Professionnel / US) commence à s’utiliser en France Belgique : MCA (Master Computer Audit) GB : Qi. CA (Qualification in Computer Audit)

 SIE 2 - Séance 2 Structuration d’une mission

SIE 2 - Séance 2 Structuration d’une mission

 SIE 2 - Séance 2 Ordre de Mission (OM & LM) Document ECRIT

SIE 2 - Séance 2 Ordre de Mission (OM & LM) Document ECRIT Transmise par le groupe demandeur de l'audit : Direction - Conseil d'Administration - etc. Responsable de service - Syndicats Définit la Mission : Type d'audit et domaine de l'audit (Développement, maintenance, sécurité, . . . ) Cadres, délais et moyens à utiliser Lieu, contraintes imposées Définit les objectifs de la Mission Objectifs recherchés et problèmes constatés ou connus « Pouvoirs » des auditeurs

 SIE 2 - Séance 2 Cadres de la LM ou de l’OM Contraintes

SIE 2 - Séance 2 Cadres de la LM ou de l’OM Contraintes Influent sur Objectifs de l ’Audit CADRES Impossibilité d ’accéder à … sans agrément … Impossibilité de dupliquer ou sortir les documents … Obligation de connaissance de … etc. Législation Défense Nationale ou cadre secret défense Multinationale : Droit européen, international Audit des partenaires ou associés : Contrat pluri-partenaires etc. Technique Normalisation spécifique PAQ ou ISO 900 x ou ISO 14000 ou ISO 17799 Méthodologie spécifique de travail etc. Financements multiples Modalités spécifiques de paiement Subventions (FRAC par exemple) etc.

 SIE 2 - Séance 2 Cadres de la LM Ce sont ceux de

SIE 2 - Séance 2 Cadres de la LM Ce sont ceux de l’AUDIT INFORMATIQUE et non ceux de l’entreprise dans le domaine informatique Objectifs nécessite Pouvoirs nécessite Moyens Ils se déclinent en 3 points : • Etude et formalisation de l ’existant • Recherche des points forts et faibles (BBK ou FRAP) • Recherche des causes réelles des points faibles En audit opérationnel, ils sont complétés par : • Etude de solutions (propositions) • Assistance à la spécification opérationnelle des solutions Pouvoirs essentiels : • investigation, recueil d’informations et documents • interviews, accès aux locaux, accès au système informatique • etc. Pouvoirs spécifiques à un audit • interviews hors des locaux de l’entreprise • contacts des sous-traitants, partenaires, prestataires, … • etc. • Utilisation de salle spécifique de l ’entreprise pour réunions et/ou interviews • Terminal dédié à l’audit, User Code, Carte d’accès, Espace disque, Duplication de base, de sources, etc. • etc.

 SIE 2 - Séance 2 Etude de la LM La réception d'une lettre

SIE 2 - Séance 2 Etude de la LM La réception d'une lettre de Mission implique : L'analyse des objectifs demandés et une discussion avec les demandeurs quant à tous les points spécifiés dans la LM La demande de mise au clair des points omis La création d'une équipe de travail • si existe déjà, conforter et informer cette équipe • si n'existe pas, réaliser un BC des personnes pouvant y participer et réunir l'équipe la plus apte à remplir la mission Une classification des objectifs (de mission et de LM) par thèmes ou familles Une validation de la LM conjointe entre les demandeurs et le responsable de l'Audit

 SIE 2 - Séance 2 Compétences nécessaires La mission étant connue, on va

SIE 2 - Séance 2 Compétences nécessaires La mission étant connue, on va recher les collaborateurs internes ou externes pouvant l'assurer Ils devront disposer dans certaines cas de compétences techniques particulières. Mais on chera principalement à avoir une équipe apte à traiter les points ci-contre La technicité n'est qu'un aspect annexe du travail, qui pourrait être confiée à un technicien si besoin donc. . . 1 TECHNICITE Informatique S. d'Entreprise 2 COMMUNICATION Individuelle 3 de Groupe ORGANISATION et METHODES Org. Equipe T&M d'org.

 SIE 2 - Séance 2 Préparation à la mission EXEMPLES TECHNICITE (SI) et

SIE 2 - Séance 2 Préparation à la mission EXEMPLES TECHNICITE (SI) et ENTREPRISE (Environnement) COMMUNICATION et ECHANGES ORGANISATION et METHODES ++ + - Points FORTS Point acceptable Points FAIBLES L'Equipe dispose de plusieurs membres ayant une solide connaissance du domaine L'Equipe ne dispose que d'UN membre ayant une solide connaissance du domaine ou plusieurs membres ayant une connaissance limitée du domaine L'Equipe ne dispose d'aucune connaissance du domaine ou alors est trop limitée pour être efficace de Spécialité : matériels, logiciels, OS droit info, SGBD, Génie. d'Entreprise : droit, RH, gestion, organisation, produc, . . . Individuelle : écoute, interview, prise de Rd. V, etc. de Groupe : Réunion, Présentation, Enquête, Rapport, etc. Organisation Equipe : Direction d'Equipe Gestion de Projet M. T. d'Organisation : Schéma directeur, Plan, Méthodes info et indus

 SIE 2 - Séance 2 Missions et méthode Formes Organisation d’équipe Compétences Experts

SIE 2 - Séance 2 Missions et méthode Formes Organisation d’équipe Compétences Experts externes Bilan général et mission Démarche générale Phases Contrôles Cadres de travail Suivi

 SIE 2 - Séance 2 Place et forme de l’Audit Norme / Optimum

SIE 2 - Séance 2 Place et forme de l’Audit Norme / Optimum Bilan Propositions Réalisable D D’ Existant MISE EN ŒUVRE & SUIVI Historique Audit de Contrôle Actuel Audit de Prescription Futur Audit Opérationnel

 SIE 2 - Séance 2 Mission d’audit : préparation Ordre de Mission (OM)

SIE 2 - Séance 2 Mission d’audit : préparation Ordre de Mission (OM) Reconnaissance Plan d’Approche (Pd. A) Analyse des risques Tableau des Forces et faiblesses apparentes (TFf. A) Choix des objectifs Rapport d’orientation (Rd. O) Détermination des tâches Planification Programme de Vérification (Pde. V) Budget, Allocation, Planning, Suivi (BAPS)

 SIE 2 - Séance 2 Mission d’Audit : réalisation Feuille de Couverture Fde.

SIE 2 - Séance 2 Mission d’Audit : réalisation Feuille de Couverture Fde. C Phase de travail sur Terrain Papiers de Travail (Pde. T) Feuille de Révélation et d’Analyse de Problème (FRAP) – 1 par section

 SIE 2 - Séance 2 Mission d’Audit : Finalisation FRAP Synthèse (au service

SIE 2 - Séance 2 Mission d’Audit : Finalisation FRAP Synthèse (au service d’audit) Ossature de Rapport (OR) Restitution Compte Rendu Final au Site (CRFS) Rédaction et Validation Rapport : en 3 temps Projet, Validation, Définitif (Rapp) Suivi des recommandations État des Actions de Progrès (EAP)

 SIE 2 - Séance 2 Niveaux de Contrôles Informatiques CONCEPTS et MODELES ENTREPRISE

SIE 2 - Séance 2 Niveaux de Contrôles Informatiques CONCEPTS et MODELES ENTREPRISE ORGANISATION et SOCIAL NIVEAU DE LA FONCTION, DU SERVICE ET DES PERSONNELS NIVEAU DES MATERIELS DES APPLICATIONS et DES DONNES TECHNIQUES Schéma directeur et Plan informatique Audit Interne et Fonction d'Audit Normalisation et Réglementation Sécurité Générale et Qualifications Circulation des informations Procédures et Formalismes Projets et Développement Méthodes et Techniques Formation et Assistance Organisation et Maintenance Sous-Traitance et Fournisseurs Matériels et Réseaux Communications externes Applications spécifiques Applications standards Bases de données

 SIE 2 - Séance 2 Mission d’étude-conseil (externe) ORDRE de MISSION (OM-int. )

SIE 2 - Séance 2 Mission d’étude-conseil (externe) ORDRE de MISSION (OM-int. ) ou LETTRE de MISSION (LM-ext. ) Réception LM - Spécification des objectifs Bilan de compétences (BC) - Validation M ENQUETE PRELIMINAIRE (EPr) Phase préparatoire (PPr) Etude Préalable et Confirmation (OM-LM) PHASE DE VERIFICATION (PVr) Preuve Suffisantes ? RAPPORT FINAL (Rapports) Rapports intermédiaires (Mémorandums) Rapport de synthèse Rapport final avec recommandations

 SIE 2 - Séance 2 Phase de Vérification (PVr) La phase Vérifications RAPIDES

SIE 2 - Séance 2 Phase de Vérification (PVr) La phase Vérifications RAPIDES a pour objectif, la recherche des points à risques ou à problèmes. Ceux-ci trouvés, la phase Vérification DETAILLLEE va analyser les causes, les incidents, les rapports, . . . de ces problèmes recensés Vérifications "RAPIDES" Vérifications "DETAILLEES" BBK sûrs ? TFf complet ? NON Points de REVUE (PR) OUI ANALYSE et DEPOUILLEMENT OUI Confirmation ?

 SIE 2 - Séance 2 Préparation de la PVr Interviews préliminaires Rencontre préliminaire

SIE 2 - Séance 2 Préparation de la PVr Interviews préliminaires Rencontre préliminaire des responsables concernés Plan d'approche Préparation des actions : Qui voir, quand, pourquoi Comment les voir Plan de vérification Que demander Préparation des contrôles : Quelles preuves recher Phase de vérification Quels moyens de certitude Vérification Rapide Réalisation de la vérification Vérification détaillée Lister les problèmes « Certification » des BBKS Vérifier chaque point Mise en forme du TFf S'assurer de leur véracité Dépouillement final & synthèse Recher des parades

 SIE 2 - Séance 2 BBK, TFf et PR Les BBK (Blue Black

SIE 2 - Séance 2 BBK, TFf et PR Les BBK (Blue Black Keys) représentent : Les problèmes et incidents, critiques, dysfonctionnements, etc. constatés : les POINTS NOIRS (Blacks) Les points qui semblent corrects et fonctionnels : les POINTS BLEUS (Blue) Il y a donc une répartition en 2 classes des points analysés Chaque BK est vérifié pour savoir : si un point noir est réel et ne cache pas un problème plus important si un point bleu est réel et n'est pas simplement une apparence de fonctionnement correct En cas d'incertitude on effectue un Point de REVUE (pour "revoir") des BBK contestés. Les BBK sont classés au sein d’un Tableau des Forces et faiblesses apparentes (TFf)

 SIE 2 - Séance 2 Concept BBK et TFf N° ou code de

SIE 2 - Séance 2 Concept BBK et TFf N° ou code de référence Définition sommaire Détail du BBK Type incident ponctuel, problème récurant, risque, erreur technique, erreur humaine, etc. Source de la découverte personne, groupe, documents, RAO, élément externe, étude directe, etc. Origine, cause Conséquence technique, organisationnelle financière, etc. Niveau de confiance et justification de ce niveau Importance relative, coefficient de pondération et justifications Interdépendance avec d’autres BBK regroupement (thèmes et familles), séquence, etc. Solutions possibles technique, organisationnelle, financière, etc. Indicateur de suivi outil et process de suivi process de réaction et correction sur incident

 SIE 2 - Séance 2 Etude des BBK : Thèmes Organisation Circuit et

SIE 2 - Séance 2 Etude des BBK : Thèmes Organisation Circuit et traitements Humain / Social / Relationnel Informatique Organisationnelle Service informatique Personnel informatique Exploitation Informations Hot line et assistance Informatique Structurelle Développement Schéma directeur et plans Maintenance, Formation Matériel Contrats et doc légaux Logiciels / OS / Tools Sous-traitance, régie, fournisseurs Base de données / Fichiers Projets en cours et futurs Energie et associés Budgets Locaux et mobiliers Documentations Sécurité Communications & Réseaux Accès, personnel, locaux, moyens mat et log. , budgets Projets en cours et futurs Scénarios et process Budgets Assurances

 SIE 2 - Séance 2 Tableau des Forces & Faiblesses • L’existant opérationnel

SIE 2 - Séance 2 Tableau des Forces & Faiblesses • L’existant opérationnel Fonctionnel (opérationnel, technique, etc. ) Gains Avancée Certifiés et contrôlés Savoir-faire et savoirs Reconnaissance • Les maîtrises Maîtrise d’œuvre et d’ouvrages formalisés et contrôlés Projet en cours en situation de validité Certifications et normalisations Tableaux de bords Outils de contrôles et de validation LES FORCES Les acquis et avoirs pérennes Transmission de savoir-faire et de savoirs Historique exploitable Biens et produits (informatiques) RH pérennisées Relations et contrats pérennisés

 SIE 2 - Séance 2 Tableau des Forces & Faiblesses • L’existant opérationnel

SIE 2 - Séance 2 Tableau des Forces & Faiblesses • L’existant opérationnel Incidents Pannes Dysfonctions Erreurs Retards Pertes Conflits • L’existant non opérationnel Non maîtrisé Inutile Non connu Sous-utilisé Les faiblesses • Les risques (problèmes potentiels) Risque technique Risque humain Risque économique et/ou financier • Les manques et besoins Manque constaté Manque exprimé